一、文档概述若用户需要使用从AF下发病毒查杀及僵尸网络域名访问进程取证,使用AF与EDR联动可实现该需求。以下为详细配置过程。 二、操作步骤 步骤一:EDR设置登录EDR控制台路径【系统管理】-【系统设置】-【基本设置】-下拉找到【联动设备准入设置】勾选该功能,点击保存。 步骤二:AF设置登录AF平台,控制台路径【下一代安全防护体系】-【/网端联动】-【网端联动接入设置】下拉找到【联动设备准入设置】-点击【本地EDR管理平台接入】 输入EDR的IP地址,输入完成后点击立即启用 步骤三:验证效果联动成功后可看到服务状态,接入EDR终端数,如下图 三、操作影响范围无 三、注意事项 1、使用联动功能需要先查看下EDR授权是否正确。具体版本需求看FAQ3。 2、从标准版本AF8.0.6开始,EDR支持和AF联动. 3、在标准版本AF8.0.6之前,EDR暂不支持和AF联动。 四、FAQ FAQ1、联动下发病毒查杀 当AF识别到风险终端时,可联动EDR进行查杀。在AF平台的【运行状态】-【用户安全】页 签下,可实现针对发现的风险终端联动EDR进行病毒查杀、对识别到的威胁文件进行 隔离、信任等操作,联动页面如下图所示。 FAQ2、联动举证访问僵尸网络进程 EDR能够记录终端访问的域名及访问域名的进程,当AF上发现僵尸网络日志时,可 联动EDR进行举证、溯源,帮助用户有效举证终端访问僵尸网络域名的具体进程及进 程关联文件。在AF平台的【运行状态】-【用户安全】页签下,可查看具体风险终端对应的【终 端取证可疑文件】,即是AF联动EDR进行僵尸网络举证的结果,如下图所示。 FAQ3、EDR联动AF授权要求 ①针对AF授权:截止标准版本AF8.0.69,不需要AF有单独的授权 ②针对EDR平台的授权: EDR3.5.6之前版本,EDR联动AF需要EDR平台有智响应的授权 EDR3.5.6-EDR3.5.24版本,EDR联动AF需要EDR平台有PC高级版授权、服务器旗舰版授权 EDR3.5.30及之后版本,EDR联动AF需要EDR平台PC高级版授权或PC全量版授权、服务器旗舰版授权或服务器全量版授权 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-3-11 08:52